我想写一个网址缩短服务。我试着去想那些会很危险的场景。我想到的一个是如果提交的 url 来自我自己的网站,它会创建一个无限的重定向循环。
你们能想到其他情况吗?(安全漏洞,错误...)
sol
问问题
578 次
5 回答
2
与其尝试考虑“危险”场景,不如尝试考虑如何编写它而不会对自己造成任何风险,而不管任何安全漏洞/错误如何。
可能无法解决您最终遇到的所有问题,但这是避免问题的更好方法。
于 2009-03-06T18:04:03.360 回答
2
你可能已经知道了,但我觉得有必要指出TinyURL正是你想要做的。
也就是说,除了您描述的明显的无限重定向之外,确实不会出现很多技术问题。更大的问题将是政治问题——人们在你的网址后面隐藏垃圾邮件、色情或恶意网站,人们创建“有趣”的网址指向他们认为有趣的地方,等等。
查看TinyURL 的 Wikipedia 条目,了解他们遇到的问题。
于 2009-03-06T18:10:22.143 回答
1
编写它以避免由安全漏洞引起的行为。在您的示例中,如果您在 X 时间段内从同一 IP 收到超过 x 个请求。
沿着这些思路思考将消除更多的威胁,而不是试图预先阻止它们。
于 2009-03-06T18:07:19.250 回答
0
像这样的服务中的许多危险对您来说并不像对您的服务用户那样危险。如果你搜索 TinyURL 和 security,你会发现很多这样的东西:
http://www.readwriteweb.com/archives/tinyurl_being_used_to_bypass_safe_browsing_filters.php
我会对 TinyURL 和 Bit.ly 做很多研究,看看他们是如何解决这些问题的。
就您自己的应用程序而言,所有标准的最佳实践都适用。验证输入,安全地插入您的数据库等。
于 2009-03-06T18:09:06.563 回答
0
您可以随时检查它是否来自您的服务。
而且,如果您担心它是您较小 URL 的 TinyURL,您可以随时关注该链接,如果它最终回到您的站点,请杀死它。
于 2009-03-06T18:09:07.920 回答